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(54) Procede d 'authentication d'au molns un dlsposltlf d' Identification par un disposltlf de verification. 



(57) La presents invention conceme un nouveau proc6d6 
oauthentlfication d'au molns un dlsposltH ^Identification 
par un dispositif de verification. Ce pnoc6d6 est bas6 sur 
des techniques cryptograph iques & cl6s secretes et publl- 
ques, I'authentification 6tant r6alis6e par un protocole & ap- 
port nul de connaissance. 

De plus, ce dialogue est 6tabli en utilisant le probldmes 
des equations lin&ures contraintes. 

L'invention s'applique a la cryptologie. 
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PROCEDE D' AUTHENTICATION D'AU MOINS UN DISPOSITIF 
□ IDENTIFICATION PAR UN DISPOSITIF DE VERIFICATION 

La prgsente invention concerne un nouveau proc6d6 
5 d'authentification d'au moins un dispositif d v identification par un 
dispositif de verification, cette authentification 6tant r6alis6e par un 
protocole £ apport nul de connaissance base sur le probldme des 
Equations lin§aires contraintes. 

Le probieme des equations Iin6aires contraintes (Constrained 

10 linear equations : CLE en langue anglaise) consiste d trouver des valeurs 
satisfaisant un certain nombre d'6quations Iin6aires modulo un nombre 
premier d v ces valeurs etant de plus contraintes d se trouver dans un 
ensemble prescrit X. 

La pr6sente invention s'applique plus particuli6rement au cas 

15 des communications dites $ecuris6es ou deux dispositifs 6changent des 
donnees & travers un canal dont la s6curit6 est suspecte. Dans ce cas, il 
est essentiel d'avoir un moyen de reconnaissance mutuelle, d savoir un 
moyen permettant au dispositif de verification d'authentifier un 
utilisateur et de lui permettre un accfcs aux donnees ou au service. II 

20 existe de nombreux exemples necessitant la mise en oeuvre de ce type 
de communication s6curis6e. On peut citer, notamment, le cas des 
ordinateurs de type bancaire permettant d'effectuer des transferts 
d'ordre, des distributeurs automatiques de billets, des decodeurs de 
television d p6age, des publiphones. 

25 Dans ce contexte, on utilise fr6quemment des methodes 

d'authentification qui sont bas6es sur des techniques cryptographiques £ 
cl6s secretes. Ces methodes sont, jusqu'S ce jour, les plus simples $ 
mettre en oeuvre. Dans le cadre de ces methodes, le dispositif 
d'identification, en general une carte £ puce, et le dispositif de 

30 verification tel qu'un lecteur de carte, un decodeur, un publiphone, 
partagent la mfime c!6 secrete et ('identification est accomplie par un 
algorithme symetrique ou une fonction £ sens unique. 

L'inconv6nient de ces methodes reside dans le fait que les 
deux parties, d savoir le dispositif de verification et le dispositif 

35 d'identification, doivent coop6rer mutuellement et secr6tement. Cette 
condition n'est pas toujours v6rifi6e. En effet, un element pirate peut 
acheter le dispositif de verification et I'analyser pour connaTtre sa 
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structure interne. Ensuite, 1*616 ment pirate est techniquement capable de 
r6aliser des dispositifs d'identification performants, car les elds secretes 
sont pr6sentes aux deux extr6mit6s du r6seau, £ savoir dans le dispositif 
de verification et dans le dispositif d'identification. 
5 II est reconnu que, parmi les divers proc6d6s pouvant fitre 

imp!6ment6s pour se pr6munir contre les inconv6nients des m6thodes 
classiques connues, les protocoles £ apport nul de connaissance 
assurent jusqu'd maintenant le degr6 de s6curit6 le plus 6lev6. Ces 
protocoles d apport nul de connaissance sont fonctionnellement 

10 caract6ris6s par le fait qu'un nombre illimite d'interactions avec le 
dispositif d'identification et une analyse complete de la structure du 
dispositif de verification ne sont pas suffisants pour pouvoir reconstruire 
les dispositifs d'identification. On peut trouver une description des 
proc6d6s d'identification d apport nul de connaissance existant 

15 notamment dans le brevet am£ricaih N° 4 748 668 au nom de FIAT et 
al. ou dans le brevet am6ricain US-A-4 932 056 au nom de Shamir. Ce 
dernier brevet d6crit une methode d'authentification basSe sur le 
probieme des noyaux permutes, cette methode etant connue sous le 
nom de methode PKP. 

20 Le present inventeur a aussi mis au point un nouveau proc6d6 

d'authentification base sur le probieme du decodage par syndrome. 
Cette methode est d6crite dans I'article intitule "A new identification 
scheme based on syndrome decoding" de Jacques STERN pr6sent6 au 
congres CRYPTO 93 (Actes d paraTtre dans la collection "Lecture Notes 

25 in Computer Science"). L'inconv6nient des diff6rentes methodes 
d6crites ci-dessus est d'etre relativement lentes lors des 6changes entre 
les dispositifs de verification et d'identification. D'autre part, les c!6s 
publiques ou secretes utilis6es dans ces methodes sont en general 
codees sur un nombre de bits tr6s important, necessitant une puissance 

30 de calcul 6lev6e et une place m6moire non n6gligeable. 

La presente invention a done pour but de rem6dier aux 
inconvenients mentionn6s ci-dessus en proposant un nouveau proc6d6 
d'authentification qui permet une authentification rapide du dispositif 
d'identification par le dispositif de verification et autorise I'emploi de cl6s 

35 , tant publiques que secretes, de taille mod6r6e. 

La presente invention a pour objet un proc6d6 
d'authentification d'au moins un dispositif de verification base sur des 
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techniques cryptographiques £ cl6s secretes et publiques, 
r authentication etant r6alis6e par un protocole d apport nul de 
connaissance, caract6ris6 en ce que la cie pubtique est 6tablie en 
utilisant les Equations Iin6aires contraintes. De preference, ce proc6d6 
5 est caract6ris6 par les etapes suivantes : 

- pour permettre le dialogue entre le dispositif d'identification 
et le dispositif de verification, etablir une cie secrete constitute par au 
moins un vecteur S de dimension n dont les coordonnSes sont choisies 
dans un ensemble X fix6 et une c!6 publique comprenant une matrice M 

10 de dimensions m x n dont les coefficients sont choisis al6atoirement 
parmi les entiers compris entre 0 et d-1 ou d est un nombre premier 
proche du carre d'un nombre c, et au moins un vecteur P tel que 
P = g(M(S)) ou g d6signe une fonction qui est d6finie d partir de 
Tensemble X et d'un sous groupe G de Tensemble des entiers (1, 2, ...d- 

15 1 ) et qui associe d chaque coordonn6e x du vecteur, un element g(x) de 
G tel que x s'6crive d'une manidre unique comme produit de g(x) et d'un 
element k(x) de X, 

- au niveau du dispositif d'identification, recevoir un ou 
plusieurs elements aieatoires produits par le dispositif de verification et 

20 envoyer au dispositif de verification un engagement obtenu en 
appliquant une fonction de hachage cryptographique sur des parametres 
fonctions de S, de M et des elements aieatoires , 

- puis, en fonction du ou des nombres aieatoires tires par le 
dispositif de verification, tester au niveau du dispositif de verification d 

25 Taide des elements regus et de la cie publique, que les engagements 
sont corrects, 

- r6p6ter les operations pr6cedentes un nombre de fois 
fonction du niveau de s6curit6 souhaite. 

Dans le proc6d6 d'authentification ci-dessus, on utilise une 
30 matrice M de dimensions m x n, cette matrice 6tant commune d tous les 
utilisateurs et construite aieatoirement. Chaque utilisateur regoit une cl6 
secrete S qui est un mot de n bits dont les coordonn6es sont choisies 
dans un ensemble X fixe. L'ensemble X est forme de c elements, tels 
que tout entier compris entre 1 et d-1 s f 6crive de maniSre unique comme 
35 produit d'un element de G et d'un element de X. Dans ce cas, le 
systeme calcule la cie publique P telle que P = g(M(S)). 
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D'autre part, le proc6d6 d'identification est bas6 
principalement sur la notion technique d'engagement. Si U est une 
sequence d'eiements binaires, un engagement pour U est Pimage de U d 
travers une certaine fonction de hachage cryptographique. 
5 L'engagement sera utilise comme une fonction i sens unique. La 
fonction de hachage proprement dite peut 6tre r£alis6e par exemple 
suivant la methode pr6sent6e par R. Rivest d CRYPTO 90, sous le nom 
de MD4 (Actes du congr6s CRYPTO 90, collection "Lecture Notes in 
Computer Science", pp. 303-311). On peut utiliser egalement la 

10 modification de cette methode introduite avec le nom MD5 ou encore le 
standard amgricain SHA (secure hash standard, Federal Information 
Processing Standards Publications, 30 octobre 1992). II est enfin 
possible d'utiliser d la place de la fonction de hachage un algorithme de 
chiffrement tel que DES, ou le message d hacher joue le rdle de la cl6 

15 et/ou du texte clair d chiffrer. On recommande cependant d'iterer un tel 
proc6d6 de fagon que le condense obtenu par hachage ait de preference 
au moins 128 bits. 

Le dispositif d'identification utilise par ailleurs un g6n6rateur 
de permutations aieatoires permutant des vecteurs binaires. Un tel 

20 g6n6rateur peut fitre realise d partir d'une source de bruit blanc 
num6ris6e, par exemple une diode polaris6e en inverse dans la zone dite 
w du coude", ou peut aussi §tre construit par des m6thodes logicielles 
comme d6crit dans les brevets am6ricains 4 817 147 au nom de 
GUNTER ou 4 649 419 au nom d'ARAGON. 

25 

Selon un premier mode de realisation du proc6d6 
d'authentification, dans une premfere 6tape commune aux diffgrents 
proc6d6s, le dispositif d'identification r£v6le au dispositif de verification 
son identity et/ou sa cl6 publique sign^e. 

30 D'autre part, apr6s avoir choisi al6atoirement deux vecteurs U 

et V de dimensions respectives m et n constitu6s d'entiers compris entre 
0 et d-1 ainsi que deux permutations p et q respectivement sur m et n 
elements, le dispositif d'identification calcule et transmet au dispositif de 
verification les engagements hi, h2 et h3 definis d partir d'un dispositif 

35 de hachage par hi =H(p,q,MU + P*V), h2 = H(U.p,V.q) et h3 = H((U + 
S).p, (V - T).q) ou P*V designe le produit terme d terme des 
composantes des vecteurs P et V, r6duit modulo d et ou T est le vecteur 
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k{M(S)), lequel peut §tre calcule en fonction de S par le dispositif 
d'identification ou stocks dans une partie physiquement inviolable de la 
m6moire du dispositif ; 

- le dispositif de verification tire d'une fagon alSatoire un 
5 nombre b tel que 0 < b < 4 ; 

- si b vaut 1, alors le dispositif d'identification retourne une 
rtponse r constitute des valeurs de p, q, U et V ; 

- si au contraire b vaut 2, le dispositif d'identification retourne 
une r6ponse r constitute de p,q et des vecteurs U'= (U + S), V = {V - 

10 T) ; 

- si enfin b vaut 3, alors le dispositif retourne une rgponse r 
constitute des vecteurs U.p, V.q ainsi que des vecteurs IT = (U +S).p 
et V- = (V - T).q ; 

- le dispositif de verification regoit la rtponse r, dans le cas 
15 b = 1, il calcule £ partir des elements regus p, q, U, V, les valeurs de MU 

+ P*V, U.p, V.q lesquelles doivent, si la rtponse est correcte, fitre 
telles que hi = H(p,q,MU + P # V) ; h2 = H(U.p, V.q) ; 

- si au contraire b = 2, il calcule £ partir des 6l6ments regus p,q 
U\ V, les valeurs de MU' + P*V\ U\p, V.q lesquelles doivent, si la 

20 rtponse est correcte, §tre telles que hi = H(p,q, MU* + P*V) et h3 = 
H(U'.p, V.q) ; 

- si b vaut 3, alors le dispositif de verification vtrifie les deux 
6galit6s h2 « H(U.p, V.q) et h3 = H(U", V"), de plus le dispositif de 
verification calcule les deux vecteurs U" - U.p et V" - V.q et teste que 

25 ces vecteurs sont bien constituts uniquement d'eiements de X. 

Selon un autre mode de realisation privil6gi6 de la pr6sente 
invention, dans une premiere etape commune aux difftrents procedts, le 
dispositif d'identification r6veie au dispositif de verification son identity 
et/ou sa cie publique sign6e, 

30 - puis aprts avoir choisi aieatoirement deux vecteurs U,V de 

tallies respectives m et n constitu6es d'entiers compris entre 0 et d-1 
ainsi que deux permutations p et q respectivement sur m et n elements, 
le dispositif d'identification transmet au dispositif de verification les 
engagements hi et h2 definis & partir du dispositif de hachage par hi = 

35 H(p,q,MU + P # V), h2 = (U.p, V.q), ou P*V d6signe le produit terme d 
terme des composantes des vecteurs P et V r6duits modulo d. 
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- le dispositif de verification tire de fagon altatoire un nombre 
a compris entre 0 et d - 1 ; 

- alors le dispositif d'identification calcule et envoie au 
dispositif de verification les vecteurs Y « (aS + U).p et Z = (aT • V).q 

5 ou T est le vecteur k(M(S)), lequel peut fitre calcule en fonction de S par 
le dispositif d'identification ou stocks dans une partie physiquement 
inviolable de la mgmoire du dispositif ; 

- le dispositif de verification tire de fagon altatoire un bit b = 

0 ou 1 ; 

10 - si b vaut 0, alors le dispositif d'identification retourne une 

reponse r constitute des valeurs de p et q ; 

- si au contraire b vaut 1, le dispositif retourne une r6ponse r 
constitute des vecteurs U' = S.p et V = T.q ; 

- le dispositif de verification regoit la reponse r, dans le cas b 
15 = 0, il calcule d partir de p et q les vecteurs X' et Z f tels que (Y').p = Y 

et (Z').q = z, puis le vecteur M(Y') - P # Z' lequel doit si la reponse est 
correcte §tre tel que hi = H(p.q,M(Y') - P # Z') ; 

- si b = 1, alors le dispositif de verification calcule les 
vecteurs Y - all" et aV - Z lesquels doivent si la reponse est correcte 

20 §tre tels que h2 = H(Y - all*, aV - Z) et le dispositif de verification teste 
de plus que les vecteurs IT et V sont constituts uniquement d'eiements 
de X. 

D'autres caracttristiques et avantages de la presente invention 
apparattront d la lecture de la description de deux modes de realisation 
25 du proctde, cette description etant faite avec reference aux dessins ci- 
annexes, dans lesquels : 

- la figure 1 est un schema expliquant un premier mode de 
mise en oeuvre du proc6d6 d'authentification conforme d la presente 
invention, et 

30 - la figure 2 est un schema d'un second mode de realisation 

du procede conforme & la presente invention. 

La presente invention concerne done un nouveau procede 

d'authentification realise par un protocole d apport nul de connaissance. 

Dans ce cas, la s§curit6 du procede est baste sur le probltme des 
35 equations lineaires contraintes. Ce probl&me consiste & trouver n valeurs 

satisfaisant un certain nombre d'tquations lineaires modulo un nombre 

premier d, ces valeurs etant de plus contraintes £ se trouver dans un 
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ensemble present X. Le problgme pose ci-dessus est en fait tr6s difficile 
& r£soudre par les moyens de calcul connus d ce jour d6s que le nombre 
de variables est grand. Le syst&me decrit correspond, en fait, au cas de 
m Equations in + m variables et, avec des valeurs m = n = 20, on 
5 d6passe d6jd largement les possibility des calculateurs. 

Pour mettre en oeuvre le proc6d6 d'authentification conforme 
£ la presente invention, une autorite choisie et publie une matrice M de 
dimensions m x n, de preference m = n, cette matrice etant constitute 
de coefficients choisis algatoirement parmi les entiers compris entre 0 et 

10 d - 1. d est en general un nombre premier proche du carr6 d'un nombre 
c. De preference, d = 257, d savoir (16 x 16) + 1. L'autorite choisit 
aussi une collection de vecteurs S de dimensions n dont les 
coordonn6es sont choisies alSatoirement dans un ensemble X. 
L'ensemble X est determine en fonction d'un ensemble G appeie groupe 

15 multiplicatif form6 de la suite des puissances successives d'un nombre 
r6duites modulo d, cet ensemble 6tant choisi de fagon que le nombre 
d'6l6ments de G soit c. Dans ce cas, il existe alors un ensemble X forme 
egalement de c elements et tel que tout entier compris entre 1 et d-1 
s'6crive de manidre unique comme produit d'un element de l'ensemble G 

20 et d'un element de l'ensemble X. On notera done g(u) Pei6ment de G 
intervenant dans I'unique decomposition d'un entier u compris entre 1 et 
d-1 et k(u) I'eiement correspondent de X. Si U est un vecteur d'entiers 
compris entre 1 et d-1, g(u) est forme des images par G des 
coordonn6es de U. On definit de m6me k(U). 

25 La cie secrete ainsi determinee est distribu6e aux differents 

dispositifs d'identification. D'autre part, on publie l'ensemble des cl6s 
publiques constitu6es par le vecteur P = g(M (S)). Dans le cadre de la 
presente invention, cette cie publique peut 6tre cod6e sur un faible 
nombre d'octets de mfime que la cie secrete S par I'intermediaire d'une 

30 table des elements de G et de X. Ainsi, dans le cas ou d = 257 et ou m 
= n = 20, on obtient des cl6s de 10 octets, ce qui constitue un 
avantage du present proc6d6 par rapport aux autres proc6d6s d apport 
nul de connaissance connus £ ce jour. 

On d6crira maintenant deux modes de realisation specifiques 

35 du procede de la presente invention. 

Le premier precede sera d6crit avec reference d la figure 1 qui 
represente schematiquement le protocole de communication mis en 
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oeuvre entre un dispositif (^identification et le dispositif de verification, 
pour rtaliser une authentification. Les dispositifs d' identification qui 
peuvent Stre constituts, par exemple, par des cartes d puces ou des cl6s 
eiectroniques doivent fitre physiquement inviotables. Ainsi, pour une 
5 carte & puce, il doit 6tre impossible d'acctder £ sa m6moire interne. Rien 
par contre n'est suppose concernant I'environnement dans lequel 6volue 
le dispositif de verification. D'autre part, le dispositif d' identification 
comporte dans une memoire non volatile sa cl6 secrete S, d savoir le 
vecteur S de dimension n et la matrice M de dimension m x n tandis que 

10 le dispositif de verification comporte dans une m6moire non volatile 
Tensemble des cl6s publiques constitutes des vecteurs P, ou bien des 
donnges suffisantes pour verifier qu'une cie P sign6e a bien 6t6 produite 
par Tautorite competente. Quand un dispositif d'identification veut entrer 
en contact avec un dispositif de verification, les deux dispositifs 

1 5 ex6cutent le protocole suivant : 

- tout d'abord le dispositif d'identification r6v6le son identite 
et/ou sa cl6 sign6e au dispositif de verification qui v6rifie que I'identite 
en question correspond bien d P ; 

- ensuite le dispositif d'identification choisit deux vecteurs 
20 aieatoires U,V de tallies respectives m et n f de preference m = n, 

constitues d'entiers compris entre 0 et d-1 ainsi que deux permutations 
aieatoires p et q, respectivement sur m et n elements. Mors, le dispositif 
d'identification calcule les elements suivants : hi = H(p,q,MU + P*V), 
h2 = H(U.p, V.q) et h3 = H{(U + S).p, (V-T).q) ou P # V d6signe le 

25 produit terme d terme des composantes des vecteurs P et V reduit 
modulo d et ou T est le vecteur k(M(S)). Une fois le calcul effectu6, le 
dispositif d'identification envoie au dispositif de verification 
Tengagement hi, h2, h3. Alors, le dispositif de verification tire de fagon 
aieatoire un nombre b tel que 0 < b < 4 et I'expedie au dispositif 

30 d'identification ; 

- ensuite le dispositif d'identification calcule et envoie au 
dispositif de verification une r6ponse r definie par : 

-sib = 1 , alors r est constitute des valeurs de p, q, U et V ; 

- si b = 2, alors r est constituee de p,q et des vecteurs IT = 
35 (U + S) et V = (V - T) ; 

- si b = 3, alors r est constitu6e des vecteurs U.p, V.q et des 
vecteurs IT = (U + S).p et V = (V - T).q. 
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Le dispositif de verification regoit la r6ponse r et, 

- si b = 1, il calcule d partir des elements re$us p,q, U,V les 
valeurs de MU + P # V, U.p, V.q, et ces valeurs doivent, si la r6ponse est 
correcte, §tre telles que hi = H(p,q,MU + P*V), h2 = H(U.p, V.q) ; 

5 - si b = 2, le dispositif de verification calcule d partir des 

elements repus p,q, U\ V les valeurs de MU' + P*V\ U'.p, V.q et ces 
valeurs doivent, si la reponse est correcte, 6tre telles que hi = 
H(p,q,MlT + P*V), h3 » H(U\p, V.q) ; 

- si b = 3, alors le dispositif de verification v6rifie les deux 
10 egalites h2 = H(U.p, V.q) et h3 = H{U".p, V.q). De plus, le dispositif 

de verification calcule les deux vecteurs U" - U.p et V.q - S" et teste que 
ces vecteurs sont bien constitu6s uniquement d'eiements de I'ensemble 
X. Si le test ci-dessus s'est av6r6 correct, le dispositif de verification 
considSre que le protocole s § est termine par un succfcs. Si le test n'est 

15 pas correct, le dispositif d'identification est rejete. 

Le dispositif de verification r6p6te les etapes ci-dessus un 
nombre t de fois, fonction du niveau de s6curit6 requis. Lorsque le 
dispositif est accepte, on envoit une impulsion de commande sur 
Tinterface entr6e/sortie du systSme protege qui permet la mise en route 

20 de la transaction ulterieure. 

L'ensemble des operations ci-dessus est symbolise sur la 
figure 1 dans laquelle la partie de gauche repr6sente les differentes 
operations r6alis6es au niveau du dispositif d'identification, tandis que la 
partie de droite repr6sente les differentes operations r6alis6es au niveau 

25 du dispositif de verification, les fieches symbolisant renvoi 
d'informations d*un dispositif vers I'autre. 

Un autre mode de mise en oeuvre du proc6d6 
d'authentification de la presente invention sera maintenant d6crit avec 
reference £ ta figure 2. 

30 Ce second mode de realisation demande plus de calculs que le 

mode de realisation precedent, mais la probability de succfes d'une entite 
iliegale decroit plus vite. Ce mode de realisation comporte done les 
etapes suivantes, symbolisees sur la figure 2 de manigre identique & la 
symbolisation utilis6e sur la figure 1. Dans ce cas, le dispositif 

35 d'identification r6v6le au dispositif de verification son identite ou sa cl6 
publique signee de la mfime maniere que dans Tautre mode de 
realisation. 
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Puis apr&s avoir choisi aieatoirement deux vecteurs V de tailles 
respectives m et n, (m pouvant fitre 6gal d n) constitues d'entiers 
compris entre 0 et d-1 ainsi que deux permutations p et q 
respectivement sur m et n elements, le dispositif d'identification calcule 
5 les elements suivants d savoir : hi = H(p,q,MU + P*V), h2 = (U.p, 
V.q), ou P # V d6signe le produit terme d terme des composantes des 
vecteurs P et V modulo d et H designe une fonction de hachage 
cryptographique. Alors, Tengagement hi et h2 est envoy6 sur le 
dispositif de verification. Le dispositif de verification tire de fagon 
10 aieatoire un nombre a compris entre 0 et d - 1 et I'envoie sur le dispositif 
d 'identification. 

Alors, le dispositif d'identification calcule et envoie au 
dispositif de verification les vecteurs Y = (aS + U).p et Z = (aT • V).q 
ou T est le vecteur k(M(S)) qui peut §tre calcule en fonction de S par le 
15 dispositif d'identification ou stocke dans une partie physiquement 
inviolable de la m6moire du dispositif. 

Ensuite le dispositif de verification tire de fagon aieatoire un bit 
b qui peut fitre 6gal d 0 ou d 1 : 

- si b = 0, alors le dispositif d'identification envoie une 
20 reponse r constitu6e des valeurs de p, q ; 

- si b = 1, le dispositif d'identification envoie une reponse r 
constitu6e des vecteurs IT = S.p et V = T.q ; 

Le dispositif de verification regoit la reponse r et : 

- si b = 0, il calcule £ partir de p, q les vecteurs Y* et T tels 
25 que (Y').p = Y et (Z').q = Z puis le vecteur M(Y') - P*Z' qui, si la 

reponse est correcte, doit fitre tel que hi = H(p,q # M (Y 1 ) - P # Z*) ; 

- si b = 1, alors le dispositif de verification calcule les 
vecteurs Y - aU 1 et aV - Z qui, si la r6ponse est correcte, doivent 6tre 
tels que h2 = H(Y - aU' # aV - Z). Alors le dispositif de verification teste, 

30 de plus, que les vecteurs U' et V sont constitu6s uniquement 

d'ei6ments appartenant d Tensemble X. 

Si le test correspondent & b est correct, le dispositif de 

verification consid&re que le protocole s'est termine par un succ&s et le 

dispositif d'identification est accepte et on envoie une impulsion de 
35 commande sur I'interface entr6e/sortie du systSme protege qui permet ia 

mise en route de la transaction ult6rieure. Si le test n'est pas correct, le 

dispositif d'identification est rejete. 
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Pour accroTtre la s6curit6 du proc6d6, les deux dispositifs 
d 1 identification et de verification r6 patent les Stapes ci-dessus plusieurs 
fois, d savoir t fois, le dispositif de verification n'authentifiant le 
dispositif d'identification que si toutes les sessions du protocole se sont 
5 sold6es par un succds. De preference, on choisit t tel que 0 < t < 60, 
les valeurs t = 35 et t = 20 constituent respectivement pour le premier et 
le second mode de realisation, des exemples typiques apportant une 
securite suffisante pour nombre duplications. 

On a decrit ci-dessus deux modes de realisation particuliers qui 
10 peuvent §tre modifies sans sortir du cadre de la pr6sente invention. 
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REVENDICATIONS 

1. Proc6d6 d'authentification d'au moins un dispositif 
5 d'identification par un dispositif de verification base sur des techniques 
cryptographiques d c!6s secretes et publiques, I'authentification 6tant 
r6alis6e par un protocoie d apport nul de connaissance, caract£ris6 en ce 
que la cie publique est etablie en utilisant tes equations Iin6aires 
contraintes. 

10 2. Proc6d6 selon la revendication 1, caract6ris6 en ce qu*il 

comporte les 6tapes suivantes : 

- pour permettre le dialogue entre le dispositif d'identification 
et le dispositif de verification, etablir une cl6 secrete constitute par au 
moins un vecteur S de dimension n dont les coordonn6es sont choisies 

15 dans un ensemble X fixe et une cl6 publique comprenant une matrice M 
de dimensions m x n dont les coefficients sont choisis aieatoirement 
par mi les entiers compris entre 0 et d-1 ou d est un nombre premier 
proche du carre d'un nombre c, et au moins un vecteur P tel que 
P = g{M(S)) ou g designe une fonction qui est d6finie d partir de 

20 ('ensemble X et d'un sous groupe G de I'ensemble des entiers (1, 2. .d-1) 
et qui associe £ chaque coordonnee x d'un vecteur, un element g(x) de 
G tel que x s'6crive d'une manidre unique comme produit de g(x) et d'un 
element k(x) de X, 

- au niveau du dispositif d'identification, recevoir un ou 
25 plusieurs elements aieatoires (U,V,p,q) produits par le dispositif de 

verification et envoyer au dispositif de verification un engagement 
obtenu en appliquant une fonction de hachage cryptographique sur des 
parametres fonctions de S, de M et des elements aieatoires tires par le 
dispositif de verification, 
30 - puis, en fonction du ou des nombres aieatoires tires par le 

dispositif de verification, tester au niveau du dispositif de verification d 
I'aide des elements re$us et de la c!6 publique, que les engagements 
sont corrects. 

3. Procede selon Tune quelconque des revendications 1 et 2, 
35 caracterise en ce que Con repete les operations pr6cedentes un nombre 
de fois fonction du niveau de s6curit6 souhait6. 
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4. Proc6d6 selon Tune quelconque des revendications 
pr6c6dentes, caract6ris6 en ce que Tensemble X est forme de c 
elements tels que tout entier compris entre 1 et d-1 s'6crive de manure 
unique comme produit d'un element de G et d'un element de X. 
5 5. Proc6d6 selon Tune quelconque des revendications 1 d 4, 

caract6ris6 en ce que les elements aieatoires sont constitu6s par deux 
vecteurs U et V de dimensions respectives m et n et constitu6s d'entiers 
compris entre 0 et d-1 et par deux permutations p et q respectivement 
sur m et n elements. 
10 6. Proc6d6 selon Tune quelconque des revendications 1 d 5, 

caract6ris6 en ce que m = n. 

7. Proc6d6 selon Tune quelconque des revendications 1 d 6, 
caract6ris6 en ce que d = 257 et n = 20. 

8. Proc6d6 selon Tune quelconque des revendications 1 d 6, 
15 caract6ris6 en ce que, au debut de chaque dialogue, le dispositif 

d'identification r6v6le au dispositif de verification son identity et/ou sa 
cl6 publique sign6e. 

9. Proc6d6 selon Tune quelconque des revendications 1 d 8, 
caract6ris6 en ce que, une fois le dialogue etabli entre le dispositif 

20 d'identification et le dispositif de verification et les elements al6atoires 
choisis : 

- le dispositif d'identification calcule et transmet au dispositif 
de verification les engagements hi et h2 definis & partir d # un dispositif 
de hachage par hi = H(p,q,MU + P # V), h2 = (U.p.V.q) ou P # V d6signe le 

25 produit terme £ terme des composantes des vecteurs P et V, r6duit 
modulo d ; 

- le dispositif de verification tire d'une fagon aieatoire un 
nombre a compris entre 0 et d-1 ; 

- alors, le dispositif d'identification calcule et envoie au 
30 dispositif de verification les vecteurs Y = (aS + U).p et Z = (aT-V).q, oO T 

est le vecteur k(M(S)) ; 

- le dispositif de verification tire de fagon aieatoire un bit b=0 

ou 1 ; 

- si b vaut 0, alors le dispositif d'identification retourne une 
35 reponse r constitu6e des valeurs de p, q ; 

- si b vaut 1, le dispositif d'identification retourne une reponse 
r constitu6e des vecteurs U' = S.p et V =T.q ; 
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- le dispositif de verification regoit la r6ponse r, dans le cas 
b = 0, il calcule, d partir de p et q les vecteurs V et T tels que (Y').p = Y 
et (Z').q = Z, puis le vecteur M(Y')-P*Z' lequel doit, si la reponse est 
corrects fitre tel que hi =H(p,q r M(Y , )-P # Z') ; 

5 - si maintenant b = 1, alors le dispositif de verification calcule 

les vecteurs Y-aU' et aV'-Z, lesquels doivent, si la reponse est correcte, 
§tre tels que h2 = H(Y-aU\aV-Z), le dispositif de verification testant de 
plus que les vecteurs IT et V 9 sont constitute uniquement d'ei6ments de 
X. 

10 10. Proc6d6 selon Tune quelconque des revendications 1 & 8, 

caract6ris6 en ce que, une fois le dialogue 6tabli entre le dispositif 
d 'identification et le dispositif de verification et les elements aieatoires 
choisis : 

- le dispositif d'identification calcule et transmet au dispositif 
15 de verification les engagements M, h2 et h3 definis d partir d'un 

dispositif de hachage par hi = H(p,q,MU + P*V), h2 = H(U.p,V.q) et 
h3 = H({U + S).p,{V-T).q) ou P*V d6signe le produit terme d terme des 
composantes des vecteurs P et V, r6duit modulo d et ou T est le vecteur 
k(M(S)) ; 

20 - le dispositif de verification tire de fagon aieatoire un nombre 

b tel que 0<b<4 ; 

- si b vaut 1, alors, le dispositif d'identification retourne une 
r6ponse r constitu6e des valeurs de p,q,U et V ; 

- si b vaut 2, alors le dispositif retourne une reponse r 
25 constitu6e de p, q et des vecteurs IT = (U + S) et V = (V-T) ; 

- si b vaut 3, alors le dispositif retourne une reponse r 
constitu6e des vecteurs U.p, V.q ainsi que des vecteurs U" = (U + S).p et 
V"=(V-T).q ; 

- le dispositif de verification regoit la reponse r, dans le cas 
30 b = 1, il calcule & partir des elements regus p,q,U,V, les valeurs de 

MU + P # V, U.p, V.q lesquelles doivent, si la reponse est correcte, §tre 
telles que hi = H(p,q,MU + P*V), h2 = H(U.p,V.q) ; 

- si au contraire b vaut 2, il calcule d partir des elements regus 
p,q,U\V\ les valeurs de MU" + P*V, U\p, V.q lesquelles doivent, si la 

35 reponse est correcte, Stre telles que hi =H{p,q,MU , + P*V f ) et 
h3 = H(U\p,V\q) ; 
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- si enfin b vaut 3, alors le dispositif de verification v6rifie les 
deux 6galit6s h2 = H(U.p,V.q) et h3 = H(U M ,V M ), de plus, le dispositif de 
verification calcule les deux vecteurs LT-U.p et V.q-V M et teste que ces 
vecteurs sont bien constitu6s uniquement d'ei6ments de X. 
5 11. Proc6d6 selon Tune quelconque des revendications 9 et 

10, caract6ris6 en ce que Ton rgpSte les Stapes ci-dessus un nombre t 
de fois, fonction du niveau de s£curit6 requis, le dispositif de verification 
n'authentifiant le dispositif d'identification que si toutes les sessions du 
protocole se sont sold6es par un succds. 
10 12. Proc6d6 selon Tune quelconque des revendications 9 et 

10, caract£ris£ en ce que le vecteur k (M(S)) est calcule en fonction de 
S par le dispositif d'identification ou est stocke dans une partie 
physiquement inviolable de la mgmoire du dispositif. 



DISPOSITIF ^IDENTIFICATION 
CI6 secrdte = vecteurs S 

Produire : 

- un vecteur al6atoire U de taille m 

- un vecteur al6atoire V de taille n 

- une permutation aleatoie p sur m 

- une permutation aleatoire q sur n 

Calculer : hi = H(p,q,MU + P*V) 

h2 = (U.p,V.q) 

h3 = H((U + S).p, (V-T).q)) 

T = k (M(s)) 
Envoyerhl, h2, h3 



Recevoir b 

si b = 1 alors r = {p, q, U, V} 
si b ■ 2 alors r = {p, q, U' = U + S, 

V = V-T) 
si b = 3 alors t = {U.p, V.q 
U"=(V + S).p, 
V = (V-T).q} 



Envoyer r 



FIGURE 1 
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DISPOSITIF DE VERIFICATION 
Cle publique = vecteur P 



Recevoir hi , h2, h3 
produire un nombre al6atoire b tel que 
0<b<4 

Envoyer b 



Recevoir r 

si b = 1 verifier hi, h2 

sib = 2 v6rifierh1, h3 

si b = 3 verifier h2, h3 

et tester que les vecteurs trouv&s 
EaX 




Oui 



Dispositif 
rejet6 









Dispositif 
accept6 
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DISPOSITIF ^IDENTIFICATION 
C!6 secrete = vecteurs S 

Produire : 

- un vecteur ateatoire U de taille m 

- un vecteur al6atoire V de taille n 

- une permutation a!6atoie p sur m 

- une permutation al6atoire q sur n 

Calculer : hi = H(p,q,MU + P*V) 
h2 = (U.p, V.q) 



Envoyer hi, h2 



Recevoira 

Calculer : 
Y = (aS + U).p 
Z = (aT-V).q 
T = k(M(s)) 

Envoyer Y, Z 



Recevoir b 

si b = 0 alors r = {p,q} 

si b = 1 alors r = {IT = S.p, V = T.q} 

Envoyer r 



FIGURE 2 
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DISPOSITIF DE VERIFICATION 
CI6 publique = vecteur P 



Recevoir hi, h2 
Tirer un nombre aleatoire a tel que : 
0< a< d - 1 

Envoyer a 



Recevoir Y, Z 
Tirer un nombre al6atoire b tel que : 
0<b<1 

Envoyer b 



Recevoir r 
si b = 0 v§rifier hi 
si b = 1 verifier h2 

et tester que les vecteurs E £ X 




Qui 



Dispositif 
rejet6 



► ' — " 






Dispositif 
acceptfi 
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